NRI Secure SANS NewsBites 日本版

Vol.10 No.21 2015年6月17日発行

**********************************************************************
          NRI Secure SANS NewsBites 日本版
                     Vol.10 No.21 2015年6月17日発行
**********************************************************************


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃中┃ SANS Tokyo コミュニティ ナイトセッション
 ━┛━┛━┛
今年もSANS Tokyo 2015を開催します(10月19日~31日)。今回は、インシデ
ントハンドリングやデジタルフォレンジックの定番コースに、ペネトレーショ
ンテストの上級コース、Windowsフォレンジックのコース、SOC(セキュリティ
オペレーションセンター)従事者のための上級コースを加えて、豊富なライン
ナップでの開催を予定しています。

コミュニティナイトセッションセミナーでは、SOCの果たすべき役割や、効果
的に機能させるための方法、従事する人材のスキルといった内容を、デモを
交えて解説します。
SANS Tokyo 2015において開催予定の、『SEC511:Continuous Monitorting
and Security Operations』の受講を検討している企業の方は必見です。

●お申し込みはこちら
    https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o004

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛
           = SANS Tokyo 2015 =
      http://sans-japan.jp/training/event.html

【10月開催 第一弾】10月19日~24日[6日間]
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
  ペンテスター、インシデントハンドラーへの登竜門
◆FOR408:Windows Forensic Analysis
  Windowsシステム(内部犯行)にフォーカスしたトレーニング
  日本初開催!
【10月開催 第二弾】10月26日~31日[6日間]
◆SEC511:Continuous Monitoring and Security Operations
  攻撃者の兆候に気付き、分析するSOC担当者向けトレーニング
  日本初開催!
◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!
◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰が再び東京へ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

────────────────────────────────
■■SANS NewsBites Vol.17 No.045, 046
(原版: 2015年6月9日、12日)
────────────────────────────────

◆ 米下院が監視を制限する法案を可決(2015.6.4)

米下院が、政府による通信の監視に対して商業・司法および補助に関する規制を 定めた法案を可決した。法案の中には、法執行機関を手助けするために暗号通信 を解読することを目的としたバックドアを仕込むことを目的とした企業への補助 を禁止する事項がある。また、Stingrayと呼ばれるテクノロジーを利用するため の補助も禁止する事項がある。

http://fcw.com/articles/2015/06/04/cjs-funding-bill.aspx

【編集者メモ】(Northcutt)
ちょっと隠れたストーリーになっているが、とても重要なことだ。これは、大き な法律制定である。主な焦点は、米国政府による国民へのスパイ行為を減らすこ とにある。また、これは次回の人口調査にも影響するものだ。人口調査はそれほ ど重要ではないと思われがちだが、食糧配給権、学校で給食(朝食、昼食)およ び 低所得者などを対象とした各種支援策(原文:Head Start)に対する予算に 影響を与えるものだと言えば、重要な役割を持つことが理解できるだろう。この データを偏らせることができれば、特定のコミュニティ、州や地域は、自分のと ころを有利にすることが可能だ。もし、あなたが6人に1人いると言われる食べ 物に困っている人であれば、そのダイヤルを回すモチベーションがあるのではな いだろうか。

http://www.civilrights.org/census/your-community/funding.html
http://www.feedingamerica.org/hunger-in-america/

────────────────

◆ カリフォルニア州の法律制定によって、デジタル機器の操作を行うために令状が必要に(2015.6.3)

カリフォルニア州の議員は、法執行機関の職員がノートパソコンやスマートフォ ンの操作およびリモートサーバに保管されているデータにアクセスする場合に令 状を必須とする法案を可決した。州知事は、2年前に類似の法案を拒否している。 新しい法案には、公共の安全を脅かす場合における例外が設けられており、法執 行機関が命の危機や重症の可能性があり、そして機器の持ち主が操作に協力した 場合、この例外が適用されるという。

http://touch.latimes.com/#section/-1/article/p2p-83694329/

────────────────

◆ 米国政府のサイトが HTTPS を適用する(2015.6.8)

ホワイトハウスのブログによると、2016年末までに、すべての米国政府ウェブサ イトは HTTPS をサポートすると発表した。米国政府の CIO トニー・スコット氏 によると、HTTPS は「二つのシステム同士の接続の完全性を保証してくれるが」、 システムそのものを保護してくれるわけではないと述べている。

http://thehill.com/policy/cybersecurity/244346-all-federal-websites-to-support-encrypted-browsing

【編集者メモ】(Ullrich)
これは、数年前に行われるべきだったことだ。この記事は、米国政府の進歩を物 語っているのではなく、大量のデータを保護するという意味において、どのくら い遅れているかを示している。

【編集者メモ】(Pescatore、Paller)
暗号化されている通信が増えることはいいことだが、HTTPSを適用するという行 為が、攻撃から守るという観点で政府が取るべきアクションのトップ10に入ると いうことは考えにくい。そもそもSSLは無料ではないのだ。ユビキタスなSSLを実 装するには、データ処理のコストや鍵のライフサイクルを管理するためのコスト を考慮する必要がある。政府はプライオリティのつけ方において困惑しているよ うに見える。先にこの取り組みに投資するということは、重要な政府内の取り組 み、たとえばネットワーク内の機器を把握する、パッチの適用を管理する、特権 を管理する、フィッシングを難しくするといった取り組みが遅れることになるが、 本来ならばこれらが優先されるべきだと思う。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「子供に教えるインターネットセキュリティ」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
オンライン接続が当たり前となった現代に生きる子供は、いくつかの利益を享受で
きると同時に、リスクも伴います。子供ならではの行動や振る舞いであったり、交
流の仕方を間違えると、自分自身の安全を保つことが難しくなります。しかし、子
供に難しいテクノロジーの話をしても、なかなか真意は伝わりにくくなるのがお悩
みではないでしょうか。このような問題を解決するいくつかの方法があります。今
月は、子供に教えるインターネットセキュリティについて、一般ユーザー向けにも
分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201506_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ OPM のデータ漏えいで、すべての公務員が影響を受けたか?(2015.6.11)

連邦政府職員連合(AFGE)によると、人事管理庁(OPM)のシステムで起きたデー タ漏えいは、百万人の現職および前公務員に影響を及ぼしたと報告している。キャ サリン・アーチュレタ OPM局長宛の手紙にJ・デービッド・コックス AFGE長官は、 AFGEが影響を受けたと思われる情報を列挙し、さらにこれらのデータが暗号化され ていないことを指摘している。

http://www.forbes.com/sites/katevinton/2015/06/11/federal-union-says-opm-data-breach-hit-every-single-federal-employee/
http://www.computerworld.com/article/2935132/cybercrime-hacking/hacked-data-on-millions-of-us-govt-workers-was-unencrypted.html
http://www.cnet.com/news/hack-affected-every-single-federal-employee-union-says/
http://www.nextgov.com/cybersecurity/2015/06/opm-hackers-stole-data-every-federal-employee/115117/?oref=ng-channeltopstory
AFGE からの手紙のテキスト:
http://www.scribd.com/doc/268412148/AFGE-President-Cox-Letter-to-OPM-Archuletta-Cyber-Breach

【編集者メモ】(Northcutt)
何かが起きたのは間違いないのだが、実際に何が起きたのかは分かっていない。中 国を責めるのは簡単だが、フェアな回答ではない。OMBは、漏えいした情報を保護 すべきだったのだが、何が漏えいしたのか? 実際に何が起きたのか把握している のか? といった情報はほとんど明るみに出ていない。NewsBitesは、AFGEの当局者 (コックス氏)以外の情報源を探そうとしたが、何も見つからなかった。個人的な意 見で恐縮だが、とても残念な気持ちになってきている。私は過去に公務員だったこ ともあるし、税金を払っているので、IRS が私の情報を持っているのは確実だ。そ のため、一つの検索エンジン、ソーシャルメディアサイト、クレジットカード、オ ンライン上のいずれに対しても、私のすべての情報を知らないようにするために気 をつけているが、米国政府が何を持っているか、または何が欲しいのかをコントロ ールできないし、何をどうやって守っているのかもコントロールできない。ブッシ ュとオバマ政権は、国民や外国人に関する情報収集に力を入れていたが、これらの 情報を保護することに関しては全く無関心だったようだ。

https://epic.org/privacy/vatheft/
http://www.washingtonpost.com/realestate/irs-was-told-in-2011-that-its-security-and-privacy-controls-were-inadequate/2015/06/01/de42884a-0886-11e5-95fd-d580f1c5d44e_story.html

【編集者メモ】(Honan)
本件の状況に関して興味深い情報がウォールストリートジャーナルに記載されている:
http://www.wsj.com/articles/u-s-spy-agencies-join-probe-of-personnel-records-theft-1433936969

このデータ漏えいは、EINSTEINによって発見されたのではなく、セキュリティベン ダが OPMのネットワークに対して製品デモしている際に発見されたとのこと。これ が本当ならOPMは、被害者に対して述べている事実を訂正すべきである。データが どのような原因で漏えいしたのかを可能な限り情報を開示し、今後同じことが起き ないようにするための対策も併せて開示すべきだ。

────────────────

◆ OPMに対して行われた攻撃手法で他の政府関連のシステムが狙われている(2015.6.9)

OPMのネットワークに侵入した攻撃者は、他の政府系システムも標的にしていると いう。OPMのデータ漏えいに関する情報が公開されたのを受けて、米国土安全保障 省 (DHS)のサイバー脅威を検知する EINSTEINに攻撃のシグニチャが登録された。 その後、EINSTEINは、他の政府関連のシステムに対して行われている攻撃活動とシ グニチャが一致していることを発見したという。

http://www.federaltimes.com/story/government/cybersecurity/2015/06/09/opm-hack-other-networks/28749945/

【編集者メモ】(Honan)
これは、攻撃が誰によって行われたのではなく、攻撃がどのようにして行われたか にフォーカスすべきであることを証明してくれている。こうすることで組織は適切 な対策を取ることができるからだ。

────────────────

◆ Airbus事故に関して新たな情報 (2015.6.110)
新たな報告によると、Airbusの航空機にソフトウェアをインストールしている際に 4つある電気制御ユニット(ECU)の中で、3つのECUから設定データが削除されていた ことが明らかになった。削除された設定データのひとつであるトルク校正パラメー タは、エンジンからの情報を解釈するために必要なもの。通常飛行に必要な設定情 報が欠落していたことから、影響を受けた3つのエンジンが停止したと考えられて いる。システムの構成上、問題が起きていることをパイロットが通知により認識で きるのは、上空400フィートに達してからだという。

http://arstechnica.com/information-technology/2015/06/report-airbus-transport-crash-caused-by-wipe-of-critical-engine-control-data/
http://www.bbc.com/news/technology-33078767
http://www.computerworld.com/article/2933491/security0/vital-engine-software-files-accidentally-wiped-linked-to-fatal-a400m-plane-crash.html

【編集者メモ】(Assante)
この悲劇によって、サイバーが及ぼす影響を改めて思い知らされた。この航空機の 安全機構は、1つ以上のエンジンで起きている問題を正しく分析できなかったこと になる。システムとして稼働する多くのプロセスにおいて、安全機構は電力システ ム、ケミカルプラントや交通システム内で起こりうる複数のソフトウェアエラーや マルウェアを同時に処理する考慮がされていない(横断的な問題)ようだ。

【編集者メモ】(Murray)
コードを正しく書くだけでは足りない。他のツールと同様、正しく設定し、正しく 利用する必要がある。設定管理は、ハードウェアでは重要だが、"ソフト"ウェアだ と自由にできることから間違いも起きやすいのだ。設定ミスは、"障害モード"であ り、これに対応するための対策はすべきである。しかし、これは定義されていない 障害モードを発見するには”テスト”があるが、これは大きなコストがかかるもの だ。航空に関するソフトウェアでは、安全措置は必須要件であることから、それほ ど問題ではないが、システムが停止した理由や、これらの障害から守るためにでき ることを明確に述べられていないことは問題である。

【編集者メモ】(Honan)
このような事故を起こさないためにできることは、ITプロフェッショナルが嫌って いる設定変更の適切な管理と、設定後のテストを行うことである。設定変更に関す る手順を見直し、変更後のテストにおいて、機能に関するもの以外にセキュリティ やオペレーションに関わるもの加えるべきだろう。


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEggシリーズは、これから情報セキュリティを本格的に学ぶ方を対
 象としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を
 網羅した研修プログラムです。ペンテスターやフォレンジックアナリスト、
 インシデントハンドラーなどのエキスパートとして、いずれ情報セキュリ
 ティの第一線で活躍するために必要な基礎的スキルを演習中心に短時間で
 効果的に習得するよう設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html


 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティ
 の要素をご自身のスキルに加えていただく絶好のカリキュラムです。


・セキュアEggs(IT+セキュリティ基礎)
 2015年7月9日(木)-10日(金)
 2015年9月7日(月)-8日(火)
 2015年11月18日(水)-19日(木)
 2016年1月27日(水)-28日(木)
 2016年2月25日(木)-26日(金)

・セキュアEggs(フォレンジック)
 2015年10月15日(木)
 2016年3月2日(水)

・セキュアEggs(インシデント対応)
 2015年10月16日(金)
 2016年3月3日(木)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月24日(金)、8月26日(水)、9月17日(木)
事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=11

○6月18日(木)【大阪開催】
クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルな、「エンドポイント・セキュリティ管理」と
  「クラウドとオンプレミスへのBYODでの安全アクセス」~【大阪】
http://www.nri-secure.co.jp/seminar/2015/0618.html?xmid=300&xlinkid=12

○6月19日(金)
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/0619.html?xmid=300&xlinkid=13

○6月25日(木)
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file04.html?xmid=300&xlinkid=14

○6月26日(金)
 クラウド・モバイル時代のエンドポイントセキュリティ
 ~マルチデバイス活用におけるリスク評価と
               エンドポイントセキュリティの一元管理~
http://www.nri-secure.co.jp/seminar/2015/endpoint03.html?xmid=300&xlinkid=15

○7月15日(水)
 ESC ESECTOR SECURITY CONFERENCE 2015 SUMMER
 ~マイナンバー制度セキュリティ対策ソリューション展示会&説明会~
http://www.nri-secure.co.jp/seminar/2015/esector01.html?xmid=300&xlinkid=16

○7月15日(水)
 SANS Tokyoコミュニティナイトセッション
http://www.nri-secure.co.jp/seminar/2015/sans01.html?xmid=300&xlinkid=17

○7月22日(水)、8月27日(木)、9月18日(金)   ※7月以降、新プログラム
 ファイル転送・共有サービスの正しい選び方
 ~クラウドサービスで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2015/file05.html?xmid=300&xlinkid=18

○7月23日(木)、8月25日(火)、9月29日(火)   ※新セミナー
 メールセキュリティ対策ソリューションセミナー
 ~標的型攻撃や誤送信など情報漏洩からいかに守るか~
http://www.nri-secure.co.jp/seminar/2015/mail04.html?xmid=300&xlinkid=19

○7月29日(水)、8月28日(金)、9月25日(金)   ※7月以降、新プログラム
 クラウド・モバイル時代のグローバル・エンドポイントセキュリティ
 ~グローバルでのエンドポイントセキュリティ管理とBYOD導入のポイント~
http://www.nri-secure.co.jp/seminar/2015/endpoint04.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Amazon Web Services対応セキュリティリファレンス公開 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 シンガポールで定められた、基準の厳しい金融情報システム向けの
 MAS-TRMガイドラインに対応することを目標に作成 【無償DL・登録不要】
http://www.nri-secure.co.jp/service/consulting/guideline/aws/index.html?xmid=300&xlinkid=21
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関で あるSANS Instituteが配信するコンテンツ(SANS NewsBites)をベースに、NRI セキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメ ントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティ に配信され、資料価値のあるニュースソースとして活用されています。組織のセ キュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構 です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方 は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を 希望された方、SANS関連のイベントに参加された方、その他イベント等において 弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に 【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新 旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。
なお、情報の反映までにお時間を頂戴する場合がございます。